Silent
Circle on secure electronic communications: 'You may wish to avoid
email altogether...'
Louis
Kowolowski giải thích rằng trong khi có khả năng để mã
hóa thân của các thông điệp, thì siêu dữ liệu có thể
“đúng là đang gây hại”
Louis
Kowolowski explains that while it's possible to encrypt the body of
messages, the metadata can be 'just as damaging'
By Stuart Dredge,
heguardian.com, Monday 19 August 2013 10.53 BST
Bài được đưa lên
Internet ngày: 19/08/2013
Lời
người dịch: Nói về thư điện
tử được mã hóa, bạn đừng chỉ nghĩ về việc mã hóa
thân của thông điệp, mà còn phải nghĩ về việc mã hóa
toàn bộ các siêu dữ liệu đi kèm thông điệp đó.
Đấy là lời khuyên của giám đốc hãng thư điện tử
có an ninh Silent Circle, hãng đã tự tay mình đóng cửa để
tránh phải chuyển các dữ liệu của khách hàng cho các
nhà chức trách Mỹ trong vụ PRISM. Một
chương trình thu thập siêu dữ liệu của NSA gọi là
ShellTrumpet sau đó đã được tiết lộ đã “xử lý 1 tỷ
bản ghi siêu dữ liệu của nó” vào tháng 12/2012, với
phóng viên của tờ Người quan sát (Observer) John Naughton
sau này lưu ý rằng “siêu dữ liệu là những gì những
người rình mò muốn vì lý do đơn giản là nó đọc được
bằng máy và vì thế có khả năng tìm kiếm được. Nó
là những gì làm cho sự giám sát phạm vi rộng toàn diện
trên Internet có khả năng”.
Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Hãng Silent Circle của
Mỹ đã
đóng cửa dịch vụ thư điện tử có mã hóa Silent Mail
của mình đầu tháng này, nó nói rằng “thư điện tử
như chúng ta biết nó hôm nay, về cơ bản, là què quặt
từ quan điểm về tính
riêng tư”.
Bây giờ hãng đã và
đang chi
tiết hóa về yêu cầu trả lời cho các câu hỏi về
việc vì sao hãng không thể chỉ sử dụng một trình cài
cắm mật mã khóa không đối xứng cho các ứng dụng thư
điện tử để đảm bảo an ninh cho các giao tiếp
truyền thông giữa những người sử dụng của hãng.
Nói
ngắn gọn, tất cả là về siêu dữ liệu.
“Nếu mục tiêu đơn
giản là mã hóa thân của thông điệp thì có các dịch
vụ và sản phẩm mà hoàn tất điều này”, giám đốc
các hoạt động kỹ thuật của Silent Circle Louis Kowolowski
đã giải thích trong một bài viết trên blog.
“Nếu
mục tiêu của bạn là không có sự rò rỉ siêu dữ liệu
trong các giao tiếp truyền thông an ninh của bạn, thì bạn
có thể muốn tránh các thư điện tử hoàn toàn. Thư điện
tử làm rò rỉ thông tin về ai đang giao tiếp, và thường
xuyên thế nào. Thông tin này có thể làm hại hệt như
nội dung của thư điện tử”.
Như các ví dụ,
Kowolowski đã lưu ý rằng các công ty muốn bảo vệ sở
hữu trí tuệ của họ hoặc các cá nhân gửi hoàn thuế
có thể hạnh phúc để sử dụng công nghệ truyền thống
PGP/SMIME để mã hóa thân của các thông điệp, như “một
chiến binh vì tự do làm việc ở một quốc gia đối
nghịch” có thể chỉ quan tâm tới siêu dữ liệu.
Ông đi sâu vào về
cách mà các thư điện tử được mã hóa vẫn có thể có
khá nhiều siêu dữ liệu đáng giá cho các bên có quan
tâm, cung cấp ngữ cảnh nhiều hơn cho quyết định của
Silent Circle để đóng cửa Silent Mail vài ngày sau
hãng tương tự, Lavabit, đã đóng cửa.
“Trong
quá khứ, việc đảm bảo an ninh cho thân của thông điệp
là đủ. Các công cụ và kỹ thuật được sử dụng cho
việc rình mò từng chưa đủ rộng về phạm vi để cho
phép các siêu dữ liệu sẽ được sử dụng”, Kowolowski
viết.
“Với
việc nghe trộm của các nhà cung cấp dịch vụ Internet
đường trục, các bên có quan tâm có thể thấy tất cả
giao thông trên Internet. Những ngày nơi mà nó từng có khả
năng đối với 2 người để có được cuộc hội thoại
thực sự riêng tư qua thư điện tử, nếu chúng bao giờ
đó có tồn tại, thì cũng đã qua từ lâu rồi”.
Các
từ của ông có thể phục vụ như một lời cảnh báo
cho bất kỳ ai nghĩ về việc chuyển tới các dịch vụ
thư điện tử an ninh khác không nằm ở Mỹ như Hushmail,
Neomailbox và Countermail, dù như Kowolowski đã làm rõ, thư
điện tử có thể vẫn là một dạng giao tiếp phù hợp
cho mọi người và các công ty mà quan tâm hơn về việc
mã hóa thân của các thông điệp hơn là các siêu dữ
liệu xung quanh nó.
Siêu dữ liệu các
dạng khác nhau từng nằm trong tâm của những tiết lộ
đang diễn ra về sự giám sát của Cơ quan An ninh Quốc
gia (NSA) Mỹ mùa hè này, từ câu chuyện đầu tiên hôm
06/06 về việc thu thập “các
siêu dữ liệu điện thoại” của NSA từ các cuộc
gọi được hàng triệu khách hàng của nhà cung cấp viễn
thông Mỹ Verizon thực hiện.
Một
chương trình thu thập siêu dữ liệu của NSA gọi là
ShellTrumpet sau đó đã được tiết lộ đã “xử lý 1 tỷ
bản ghi siêu dữ liệu của nó” vào tháng 12/2012, với
phóng viên của tờ Người quan sát (Observer) John Naughton
sau này lưu ý rằng “siêu dữ liệu là những gì những
người rình mò muốn vì lý do đơn giản là nó đọc được
bằng máy và vì thế có khả năng tìm kiếm được. Nó
là những gì làm cho sự giám sát phạm vi rộng toàn diện
trên Internet có khả năng”.
Về phần mình, Silent
Circle đang tập trung vào các dịch vụ Silent Phone, Silent
Text và Silent Eyes của mình cho việc gửi nhận thông điệp
bằng tiếng nói, video và văn bản/hình ảnh. “Chúng tôi
không có các dữ liệu được mã hóa và chúng tôi không
thu thập siêu dữ liệu về các cuộc hội thoại của các
bạn”, hãng này giải thích trong bài
viết trên blog công bố sự đóng cửa của Silent Mail.
When
American firm Silent Circle shut
down its Silent Mail encrypted-email service earlier this month,
it claimed that "e-mail as we know it today is fundamentally
broken from a privacy
perspective".
Now
the company has been elaborating
on the claim in response to questions about why it couldn't just
use an asymmetric key cryptography plug-in for email
applications to secure communications between its users.
In
short, it's all about the metadata.
"If
the goal is simply to encrypt the body of the message there are
services and products that accomplish this," explained Silent
Circle's technical operations manager Louis Kowolowski in a blog
post.
"If
your goal is to not have metadata leakage in your otherwise secure
communications, you may wish to avoid email altogether. Email leaks
the information about who is communicating, and how often. This
information may be just as damaging as the content of the email."
As
examples, Kowolowski noted that companies wanting to protect their
intellectual property or individuals sending tax returns may be happy
to use traditional PGP/SMIME technology to encrypt the body of their
messages, but that "a freedom fighter working on an oppressive
country" would be just as concerned about the metadata.
He
went into more depth about how encrypted emails can still yield
plenty of valuable metadata for interested parties, providing more
context for Silent Circle's decision to shut down Silent Mail days
after one
of its peers, Lavabit, also closed.
"In
the past, securing the body of the message was sufficient. The tools
and techniques used for snooping were not on a large enough scale to
allow the metadata to be useful," wrote Kowolowski.
"With
the tapping of backbone internet
providers, interested parties can now see all traffic on the
internet. The days where it was possible for two people to have a
truly private conversation over email, if they ever existed, are long
over."
His
words may serve as a warning for anyone thinking of switching to
other non-US-based secure email services like Hushmail, Neomailbox
and Countermail, although as Kowolowski made clear, email may remain
a suitable form of communication for people and companies who care
more about encrypting the body of their messages than the metadata
around it.
Metadata
of various kinds has been at the heart of the ongoing revelations
about surveillance by the US National Security Agency (NSA)
this summer, from the first story on 6 June about the NSA
collecting "telephony metadata" from calls made by
millions of customers of US telecoms provider Verizon.
An
NSA
metadata-collection program called ShellTrumpet was later
revealed to have "processed its One Trillionth metadata record"
in December 2012, with Observer
writer John Naughton later noting that "the metadata is what
the spooks want for the simple reason that it's machine-readable and
therefore searchable. It's what makes comprehensive internet-scale
surveillance possible."
For
its part, Silent Circle is focusing on its Silent Phone, Silent Text
and Silent Eyes services for voice, video and text/picture messaging.
"We don't have the encrypted data and we don't collect metadata
about your conversations," explained the company in its blog
post announcing Silent Mail's closure.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.